Fórum Root.cz
Hlavní témata => Server => Téma založeno: vfko 14. 09. 2023, 10:37:32
-
Zdravím,
v poslední době se u více zákazníků stalo, že někomu přišel podvržený email, kdy odesílatel byl změněn na skutečný email ředitele. V emailu byla faktura s žádostí o urychlené zaplacení.
Všude se používají 365.
Lze se proti tomuto nějak účinně bránit nastavením serveru? Nastavit blokování takovýchto emailů? Aby se znovu nestalo, že paní účetní pošle nenávratně 35 tisíc euro kamsi do Londýna. Děkuji.
-
Možná se zamyslet, zda by paní účetní neměla vědět za co se platí, zda by neměla být schopna to ověřit? alespoň faktury od nějaké částky? sledovat a vdět o cvrkotu ve firmně? nechat faktury schvalovat oddělením, které si objednalo fakturovanou službu nebo zboží?
Jinak můžeme paní účetní nahradit jednoduchým API bez umělé inteligence :-)
-
O jaký email se jedná? Než si to ve firmě pořešíte, poslal bych pár faktur...
Paní účetní by si měla být rizika podvržených faktur vědoma. Je rok 2023 a v normálních firmách jsou snad všichni zaměstnanci už po několikáté proškolení o možných podvržených emailech, o účetních to platí dvojnásob.
-
V normalnich firmach to funguje tak, ze mas nejake ucetnicvi, ucetni/fakturantka do toho zanese prijatou fakturu, a nekdo dalsi (i treba vic lidi) musi tu fakturu (v tom systemu, ne per huba) schvalit. Rozhodne nebude nic platit na zaklade nejakeho emailu, i kdyby ji ho posilal prezident zemekoule.
Technicky si jaksi nedodal zadne informace, takze lze leda vestit z koule. Pouziva se MS cmoud = nemuzes s tim delat vubec nic, krome toho ze si dojdes postezovat na nadrazi.
Vlastni svepravne nastaveny mailserer pochopitelne neprijme emaily, kde je ve from @firma.cz ... aniz by dotycny byl prihlaseny.
-
Pokud není e-mail elektronicky podepsaný, nedá se spolehnout na identitu odesílatele – je snadné ji podvrhnout. To by měl dnes vědět každý, kdo s e-mailem pracuje, a zejména lidé, kteří mají větší zodpovědnost – např. pracují s daty zákazníků nebo mají přístup k bankovnímu účtu.
Takže nejdůležitější je vzdělávání uživatelů.
trochu pomoci se tomu dá pomocí DKIM (https://cs.wikipedia.org/wiki/DomainKeys_Identified_Mail). E-maily odesílané z dané domény se podepisují (ne za uživatele, ale za server), a v DNS se pak informuje, že tato doména používá DKIM (a klíč, který se k podepisování používá). Když pak přijde e-mail s odesílatelem z vaší domény, ale bez podpisu, je jasné, že je ten e-mail podvržený. Záleží na příjemci, jak s tím pracuje – může takový e-mail úplně zahodit, ale většinou se ta informace jenom nějak zobrazí uživateli a nechá se na něm, aby rozhodl. Takže i v takovém případě je potřeba vzdělávání uživatelů, ale aspoň mají nějaké vodítko, jak rozpoznat falešný e-mail.
-
... Když pak přijde e-mail s odesílatelem z vaší domény, ale bez podpisu, je jasné, že je ten e-mail podvržený...
Pardon, ale toto neplatí. S použitím čistě jen DKIMu nemá přijímající strana jak zjistit, že mail měl být podepsán. Příjemce kontrolou případného existujícího podpisu pouze ověřuje, zda tělo mailu a vybrané hlavičky nebyly při transportu nějak změněny.
Teprve až zastřešující politikou DMARC může odesílající strana svět informovat, že by ten DKIM podpis měl být použit.
-
... Když pak přijde e-mail s odesílatelem z vaší domény, ale bez podpisu, je jasné, že je ten e-mail podvržený...
Pardon, ale toto neplatí. S použitím čistě jen DKIMu nemá přijímající strana jak zjistit, že mail měl být podepsán. Příjemce kontrolou případného existujícího podpisu pouze ověřuje, zda tělo mailu a vybrané hlavičky nebyly při transportu nějak změněny.
[/quote]
Bavíme se o speciálním případu, kdy je příjemce v téže doméně, jako odesílatel – o své doméně tedy může vědět, že používá DKIM, i odjinud, než z DMARC. Ale nakonfigurovat i DMARC bude obvykle nejsnazší řešení a pomůže to i ostatním příjemcům, s tím souhlasím.
-
Bez DMARCu budete muset hodně dobře vyškolit účetní ve čtení záhlaví mailů. A pokud se tedy navíc bavíme specielně o vnitrofiremní komunikaci v rámci jedné domény v prostředí MS365, tak to má ještě jeden háček. Takový mail vůbec nemusí opustit prostředí Exchange Online, a v takovém případě není DKIM podpisem opatřen.
-
Lze se proti tomuto nějak účinně bránit nastavením serveru?
Ne, protokol SMTP který se používá pro elektronickou poštu byl/je/bude vždy nevěrohodný a to i s digitálním podpisem(stačí dostat veřejnou část klíče s velmi podobnými údaji do počítače cíle - protože po určité době se ověřování podpisu stane rutina a to vždycky povede k letmému pohledu neboli nekompletní kontrole).
Pomohou pouze dodatečné sociální interakce : ŠKOLENÍ, kontrolní ověření z očí do očí, kontrolní telefonát, nedůvěra a skepticismus, naučit a předvést jim poslaní mailu přes telnet s SMTP serverem(kdyby toto uměli, nikdy mailům nebudou 100% slepě důvěřovat), nepoužívat maily jako nosiče faktur a nosit je osobně(fyzicky).
-
Pokud není e-mail elektronicky podepsaný, nedá se spolehnout na identitu odesílatele – je snadné ji podvrhnout. To by měl dnes vědět každý, kdo s e-mailem pracuje, a zejména lidé, kteří mají větší zodpovědnost – např. pracují s daty zákazníků nebo mají přístup k bankovnímu účtu.
Takže nejdůležitější je vzdělávání uživatelů.
trochu pomoci se tomu dá pomocí DKIM (https://cs.wikipedia.org/wiki/DomainKeys_Identified_Mail). E-maily odesílané z dané domény se podepisují (ne za uživatele, ale za server), a v DNS se pak informuje, že tato doména používá DKIM (a klíč, který se k podepisování používá). Když pak přijde e-mail s odesílatelem z vaší domény, ale bez podpisu, je jasné, že je ten e-mail podvržený. Záleží na příjemci, jak s tím pracuje – může takový e-mail úplně zahodit, ale většinou se ta informace jenom nějak zobrazí uživateli a nechá se na něm, aby rozhodl. Takže i v takovém případě je potřeba vzdělávání uživatelů, ale aspoň mají nějaké vodítko, jak rozpoznat falešný e-mail.
K tomuto bych jenom podotknul, že podle mých zkušeností v obyčejných korporacích (né v bakovnictví apod.) a malých dodavatelských firmách nikdo, nikdy a nikde podepisování vědomě nepoužívá a nekontroluje. Maximální ochrana je zaheslovaný pdfko s výplatnicí. Takže žádná osvěta a školení ani neexistuje, tudíž poznámka o vzdělávání v tomto je mimo mísu.
Email je v současné době braný jako alternativní forma komunikace - něco jako archaický wacap nebo týms.
Faktury se párují s objednávkami s nastaveným schvalovacím procesem - tzn. musí existovat žádanka, objednávka, dodané zboží/služba, k němu odpovídající faktura. Všechno na korunu přesně a potvrzené od žadatele (jeho šéfa/šéfa jeho šéfa), a pak teprve dá hlavní účetní pokyn k proplacení. Pokud cokoliv nesedí, řeší se oprava anebo celé kolečko znova.
Takže pokud by nějaká účetní proplatila něco na fejk fakturu, tak má v účetnictví a pravděpodobně i ve firmě bordel a špatně nastavená pravidla a procesy. Tam by školení bylo na místě.
-
Takže žádná osvěta a školení ani neexistuje, tudíž poznámka o vzdělávání v tomto je mimo mísu.
Pokud by šlo jen o ten e-mail, je to maximálně na 10 minut povídání, na to nepotřebujete žádné extra školení. Jinak je to součástí školení o kyberbezpečnosti, které podle mne mají mnohé subjekty povinné. Nebo třeba CZ.NIC má různá vzdělávací videa.
Rozhodně je mnohem lepší školit uživatele, než proplácet falešné faktury a platit výkupné za ransomware.
Email je v současné době braný jako alternativní forma komunikace - něco jako archaický wacap nebo týms.
A jak by měl být braný jinak, když to je forma komunikace? U papírových dopisů nebo telefonů se lidé také naučili, jak je používat, není důvod, proč by se to nenaučili s e-mailem.
Takže pokud by nějaká účetní proplatila něco na fejk fakturu, tak má v účetnictví a pravděpodobně i ve firmě bordel a špatně nastavená pravidla a procesy. Tam by školení bylo na místě.
Podvodníci umí být dost vynalézaví a přesvědčiví. Pokud účetní přijde e-mail „od šéfa“, že je nějaká faktura neuhrazená, že tím firmě hrozí škoda v milionech a že jestli to okamžitě neuhradí, dostane okamžitou výpověď a ty miliony po ní bude vymáhat, půjdou zaběhané procesy stranou. Právě proto má ta účetní (a nejen ona) projít školením, aby věděla, že ten e-mail nemusí být od šéfa, i když se tak tváří, a věděla, že se toho problému nejspíš může velice rychle zbavit tak, že si ověří, zda ten e-mail opravdu je od šéfa (a zjistí, že není).
-
Takže žádná osvěta a školení ani neexistuje, tudíž poznámka o vzdělávání v tomto je mimo mísu.
Pokud by šlo jen o ten e-mail, je to maximálně na 10 minut povídání, na to nepotřebujete žádné extra školení. Jinak je to součástí školení o kyberbezpečnosti, které podle mne mají mnohé subjekty povinné. Nebo třeba CZ.NIC má různá vzdělávací videa.
Rozhodně je mnohem lepší školit uživatele, než proplácet falešné faktury a platit výkupné za ransomware.
Email je v současné době braný jako alternativní forma komunikace - něco jako archaický wacap nebo týms.
A jak by měl být braný jinak, když to je forma komunikace? U papírových dopisů nebo telefonů se lidé také naučili, jak je používat, není důvod, proč by se to nenaučili s e-mailem.
Takže pokud by nějaká účetní proplatila něco na fejk fakturu, tak má v účetnictví a pravděpodobně i ve firmě bordel a špatně nastavená pravidla a procesy. Tam by školení bylo na místě.
Podvodníci umí být dost vynalézaví a přesvědčiví. Pokud účetní přijde e-mail „od šéfa“, že je nějaká faktura neuhrazená, že tím firmě hrozí škoda v milionech a že jestli to okamžitě neuhradí, dostane okamžitou výpověď a ty miliony po ní bude vymáhat, půjdou zaběhané procesy stranou. Právě proto má ta účetní (a nejen ona) projít školením, aby věděla, že ten e-mail nemusí být od šéfa, i když se tak tváří, a věděla, že se toho problému nejspíš může velice rychle zbavit tak, že si ověří, zda ten e-mail opravdu je od šéfa (a zjistí, že není).
O tom, že školení obsahují části o tom jak rozeznat falešný email se nepřu, to je snad jasné.
Snažím se sdělit, že vaše domněnka o používání podpisu je mylná, v obyčejných korporátech a firmách (nebankovních) se el. podepisování emailů nepoužívá a ani nevyžaduje, proto se o tom neškolí, tudíž poznámka o tom že nějaký podpis pomůže nějaké hypotetické účetní rozpoznat fake email je mimo.
Stejně jako vaše představa, že když účetní přijde email od vrchního šéfa s fakturou, tak si sedne na zadek a hned posílá miliony na kajmany.
V normální firmě jsou na platby procesy a musí se dodržovat. Jednak musí k té faktuře najít příslušnou objednávku a druhak musí najít potvrzení, že byla plněna, a třeťak takovýto podezřelý email zcela jistě ověří minimálně telefonátem. Krom toho ověří dodavatele v databázi, kde je také uvedený dohodnutý účet kam se posílá. Z toho všeho musí i imbecil poznat, že je něco v nepořádku. A el. podepsání emailu v tom procesu nehraje žádnou roli.
-
Snažím se sdělit, že vaše domněnka o používání podpisu je mylná, v obyčejných korporátech a firmách (nebankovních) se el. podepisování emailů nepoužívá a ani nevyžaduje, proto se o tom neškolí, tudíž poznámka o tom že nějaký podpis pomůže nějaké hypotetické účetní rozpoznat fake email je mimo.
Dobře, pokusím se vám to vysvětlit ještě jednou, třeba to napodruhé pochopíte.
Jediný způsob, jak bezpečně ověřit, že e-mail je skutečně od toho, od koho se tváří, že je, je elektronicky podepsaný e-mail. Ostatně stejně to platí i pro papírové dokumenty (u nich se ještě může používat razítko). Ostatní možnosti, jako DKIM, umožňují ověřit, že e-mail odešel přes „správný“ server, ale je věc toho serveru, jaké e-maily přijme k odeslání.
To, jak často se elektronicky podepsané e-maily používají, nemění nic na tom, že je to jediná možnost.
Stejně jako vaše představa, že když účetní přijde email od vrchního šéfa s fakturou, tak si sedne na zadek a hned posílá miliony na kajmany.
Jak jsem psal, útočníci dovedou být přesvědčiví. Vůbec to nemusí být na Kajmany, klidně to může být účet u české banky. Takovéhle útoky se dějí, občas se to objeví i v médiích. Tu falešná faktura; tu někdo vybral statisíce z účtu a ládoval je do bitcoinmatu; tu se někdo domněle přihlašoval ke státnímu webu a při tom potvrdil převod peněz z účtu; tu někdo prodává na bazaru a údajnému kupujícímu pošle údaje o své platební kartě… Vy tvrdíte, že se to neděje, ale opak je pravdou.
V normální firmě jsou na platby procesy a musí se dodržovat. Jednak musí k té faktuře najít příslušnou objednávku a druhak musí najít potvrzení, že byla plněna, a třeťak takovýto podezřelý email zcela jistě ověří minimálně telefonátem. Krom toho ověří dodavatele v databázi, kde je také uvedený dohodnutý účet kam se posílá. Z toho všeho musí i imbecil poznat, že je něco v nepořádku. A el. podepsání emailu v tom procesu nehraje žádnou roli.
Útočníci dovedou být přesvědčiví. Oni se „živí“ tím, aby dotyčného přesvědčili, že to je opravdu urgentní a na standardní procesy se má dotyčný vykašlat, protože tohle fakt spěchá a je důležité, aby se to udělalo co nejdřív. A neotravujte mne telefonováním, protože jsem teď na důležitém jednání, telefon nevezmu a očekávám, že až to jednání skončí, peníze už budou převedené.
Obávám se, že ti, kteří popírají existenci takových útoků, patří k těm náchylnějším, kteří tomu snáz podlehnou.
-
Dobře, pokusím se vám to vysvětlit ještě jednou, třeba to napodruhé pochopíte.
Jediný způsob, jak bezpečně ověřit, že e-mail je skutečně od toho, od koho se tváří, že je, je elektronicky podepsaný e-mail. Ostatně stejně to platí i pro papírové dokumenty (u nich se ještě může používat razítko). Ostatní možnosti, jako DKIM, umožňují ověřit, že e-mail odešel přes „správný“ server, ale je věc toho serveru, jaké e-maily přijme k odeslání.
To, jak často se elektronicky podepsané e-maily používají, nemění nic na tom, že je to jediná možnost.
Zase předvádíte svoji natvrdlost. Pokud ve firmě nepoužívají podepisování a oni to nepoužívají, protože to v normálním obchodním styku nepoužívá nikdo, kdo nemusí, tak to žádná jediná možnost není.
A těch možností je mnoho. Například se používá ověření separátním kanálem - hovor, telefon, teams a podobně.
-
Zase předvádíte svoji natvrdlost. Pokud ve firmě nepoužívají podepisování a oni to nepoužívají, protože to v normálním obchodním styku nepoužívá nikdo, kdo nemusí, tak to žádná jediná možnost není.
To, jestli vy něco používáte nebo nepoužíváte, nemá žádný vliv na to, zda to existuje nebo neexistuje. Když napíšu, že z Evropy do Austrálie se můžete dostat lodí nebo letadlem, nic na tom nemění fakt, že jste v Austrálii nikdy nebyl – i tak ta možnost dostat se tam z Evropy lodí nebo letadlem zůstává.
Například se používá ověření separátním kanálem - hovor, telefon, teams a podobně.
Což ale není ověření e-mailu, nýbrž výměna informací jiným kanálem. Teda pokud si po telefonu nediktujete hash e-mailu…
-
A opet tu mame jirsaka a opet vubec netusi o cem zvani. Jirsaku, email klidne podepsany byt muze, klient klidne muze tvrdit ze je vse OK, protoze jedine co tak overi, ze podpis je od nejake CA a presto to nic nevypovida o tom, kdo ho odeslal. A ucetni vazne nebude overovat, jestli CA ktere ten podpis vydala je ta spravna.
Emailem se da komunikovat duveryhodne, ale pouze v uzavrenem a od internetu zcela oddelene systemu. Pouziva to demail.
-
A opet tu mame jirsaka a opet vubec netusi o cem zvani. Jirsaku, email klidne podepsany byt muze, klient klidne muze tvrdit ze je vse OK, protoze jedine co tak overi, ze podpis je od nejake CA a presto to nic nevypovida o tom, kdo ho odeslal. A ucetni vazne nebude overovat, jestli CA ktere ten podpis vydala je ta spravna.
OK, dělám si u vás čárku, že ani elektronickým podpisům nerozumíte.
-
Už som nejakú dobu na dôchodku ale pravidlá určovalo vedenie.
Faktúra sa platila až po prijme tovaru, príjemku potvrdil skladník a jeho nadriadený odoslal účtovníčka. Ta to skontrolovala a keď sedel tovar aj suma tak uhradila.
To isté sa týkalo služieb. Niekto predsa musí rozhodnúť o objednávke a dohodnúť cenu. Účtovníčka bola o objednávke upozornená a keď prišla faktúra tak preverila či to bolo uskutočnené. To sa týkalo aj pred faktúr.
Elektronický podpis sme používali na vnútropodnikové komunikáciu, gpg a Kleopatra. Komunikácia prebiehala len šifrovane.
S bývalými kolegami som stále v kontakte a tie pravidlá stále platí. Účtovníčka výzvu mailom ignoruje okrem šifrovanych. Tých ľudí pozná ale aj tak preverí oprávnenosť poziadavky
-
Zdravím,
v poslední době se u více zákazníků stalo, že někomu přišel podvržený email, kdy odesílatel byl změněn na skutečný email ředitele. V emailu byla faktura s žádostí o urychlené zaplacení.
Všude se používají 365.
Lze se proti tomuto nějak účinně bránit nastavením serveru? Nastavit blokování takovýchto emailů? Aby se znovu nestalo, že paní účetní pošle nenávratně 35 tisíc euro kamsi do Londýna. Děkuji.
Dá se to nastavit. V v DNS je záznam na SPF, kde definujete , které servery smí posílat maily z vaší domény. Ostatní SMTP servery podvrh poznají, pokud to kontrolují, ale váš přijímací server také. Takže falešného ředitele vyf**kuje. A s ním i 90% phishingu . K tomu DKIM a DMARC a hrajme. Náš server, protože přijímá poštu jen zvenku samozřejmě odhalí domain spoofing i tak, ale SPF je lepší. Servery z 365 do něj zahrnete pomocí tzv. include.
-
A opet tu mame jirsaka a opet vubec netusi o cem zvani. Jirsaku, email klidne podepsany byt muze, klient klidne muze tvrdit ze je vse OK, protoze jedine co tak overi, ze podpis je od nejake CA a presto to nic nevypovida o tom, kdo ho odeslal. A ucetni vazne nebude overovat, jestli CA ktere ten podpis vydala je ta spravna.
Emailem se da komunikovat duveryhodne, ale pouze v uzavrenem a od internetu zcela oddelene systemu. Pouziva to demail.
Nerad to říkám, ale kolega Jirsák má pravdu.
Motají se tady do sebe dvě věci:
1) podpis odesílajícího serveru a jeho kontrola přijímacím serverem.
2) ověřený podpis dokumentu , v tomto případě mailu či přílohy a to teda opravdu vypovídá o jeho pravosti.
Debatu o věrohodnosti dotyčné CA ponechám na jiné.
Taky vyloučím možný případ, že by falešný ředitel poslal pravou fakturu.
-
A opet tu mame jirsaka a opet vubec netusi o cem zvani. Jirsaku, email klidne podepsany byt muze, klient klidne muze tvrdit ze je vse OK, protoze jedine co tak overi, ze podpis je od nejake CA a presto to nic nevypovida o tom, kdo ho odeslal. A ucetni vazne nebude overovat, jestli CA ktere ten podpis vydala je ta spravna.
To za ni ověří třeba Acrobat Reader.
-
Dá se to nastavit. V v DNS je záznam na SPF, kde definujete , které servery smí posílat maily z vaší domény. Ostatní SMTP servery podvrh poznají, pokud to kontrolují, ale váš přijímací server také. Takže falešného ředitele vyf**kuje. A s ním i 90% phishingu . K tomu DKIM a DMARC a hrajme. Náš server, protože přijímá poštu jen zvenku samozřejmě odhalí domain spoofing i tak, ale SPF je lepší. Servery z 365 do něj zahrnete pomocí tzv. include.
Mate pravdu, ale nebyl by to Microsoft, aby to nedo****l. Takže ve výchozím nastavení fail na SPF neznamená, že email nebude příjemci doručen, jako by se nic nedělo :) Stalo se nám to ve firmě cca. 5 měsíců zpět.
Nechce se mi to teď hledat, tak první, co jsem našel:
https://techcommunity.microsoft.com/t5/microsoft-365/office-365-mail-spf-fail-but-still-delivered/m-p/1491495
-
Pokud byl podvržený odesílatel, tak zřejmě zákazník nemá správně nastavený celý řetězec ochran (SPF, DKIM, ADSP, DMARC).
Další technikou bývá podvržení jména, kdy toto podvržení třeba MS Outlook zobrazoval důvěryhodně (Webmail jeden čas také). Bavíme se o tom, že ve jménu odesílatele je emailová adresa a skutečný mail from je spammerská adresa. Při přeposlání tohoto emailu programem MS Outlook se ztratí skutečná adresa odesílatele a následující adresát už vidí jen tu podvrženou, což celou věc ještě zhoršuje.
Každopádně částečným řešením je mít nasazené všechny ochrany (SPF, DKIM, ADSP, DMARC) na odfiltrování základních problémů. Zbytek, jak už bylo řečeno, se musí řešit procesně. Neexistuje, aby někdo někam poslal peníze bez toho, aniž by to zodpovědná osoba ve firmě schválila. A je úplně jedno, zda to pdf, nebo cokoli jiného, bude mít důvěrný podpis.
Zdar Max